НОВОСТИ Криминалистический анализ резервных копий HiSuite

BDFINFO2.0
Оффлайн

BDFINFO2.0

Регистрация
14.05.16
Сообщения
11.398
Реакции
501
Репутация
0
ga3fcrrmvgwhnkxjmlg2ozzpzcc.jpeg


Извлечение данных из Android-устройств с каждым днем становится все более сложным — порой даже
You must be registered for see links
, чем из iPhone. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, что делать, если вы не можете извлечь данные из смартфона на Android стандартными способами.

Несколько лет назад мы с коллегами обсуждали тенденции развития механизмов безопасности в Android-устройствах и пришли к мысли, что настанет время, когда их криминалистическое исследование станет сложнее, чем для iOS-устройств. И сегодня с уверенностью можно сказать, что это время пришло.

Недавно я исследовал Huawei Honor 20 Pro. Как вы думаете, что удалось извлечь из его резервной копии, полученной с помощью утилиты ADB? Ничего! В устройстве полно данных: информация о вызовах, телефонная книга, SMS, переписка в мессенджерах, электронная почта, мультимедийные файлы и т.д. А вы не можете ничего этого извлечь. Ужасные ощущения!

Как же быть в такой ситуации? Хороший выход — использование фирменных утилит резервного копирования (Mi PC Suite — для смартфонов Xiaomi, Samsung Smart Switch для — Samsung, HiSuite для — Huawei).

В данной статье мы рассмотрим создание и извлечение данных из смартфонов Huawei утилитой HiSuite и их последующий анализ с помощью Belkasoft Evidence Center.

Какие типы данных попадают в резервные копии HiSuite?


В резервные копии HiSuite попадают следующие типы данных:

  • данные об аккаунтах и паролях (или токенах)
  • контакты
  • вызовы
  • SMS- и MMS-сообщения
  • электронная почта
  • мультимедийные файлы
  • базы данных
  • документы
  • архивы
  • файлы приложений (файлы с расширениями.odex, .so, .apk)
  • информация из приложений (таких как Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube и т.д.)

Разберем более подробно, как создается такая резервная копия и как ее проанализировать с помощью Belkasoft Evidence Center.

Создание резервной копии смартфона Huawei с помощью утилиты HiSuite


Для создания резервной копии фирменной утилитой ее нужно загрузить с сайта
You must be registered for see links
и установить.

Страница загрузки программы HiSuite на сайте Huawei:

0aoszoyttiobc6w-ug_uz0tqcg4.png


Для сопряжения устройства с компьютером используется режим HDB (Huawei Debug Bridge). На сайте Huawei или в самой программе HiSuite есть подробная инструкция о том, как активировать режим HDB на мобильном устройстве. После активации режима HDB запустите на мобильном устройстве приложение HiSuite и введите код, отображаемый в этом приложении, в окно программы HiSuite, запущенной на компьютере.

Окно ввода кода в десктопной версии HiSuite:

9dhsdp-3qom3iegdrdkzc_iaf_q.png


В процессе создания резервной копии потребуется ввести пароль, который будет использоваться для защиты данных, извлеченных из памяти устройства. Созданная резервная копия будет располагаться по пути C:/Users/%User profile%/Documents/HiSuite/backup/.

Резервная копия смартфона Huawei Honor 20 Pro:

fhnhct6tzj4yixyvdhnieihieqw.png


Анализ резервной копии HiSuite с помощью Belkasoft Evidence Center


Для анализа полученной резервной копии с помощью
You must be registered for see links
создайте новое дело. Затем в качестве источника данных выберите пункт Mobile Image. В открывшемся меню укажите путь до каталога, где размещается резервная копия смартфона, и выберите файл info.xml.

Указание пути до резервной копии:

y6iz46oo4sdh_vbck2hfjahrfiw.png


В следующем окне программа предложит выбрать типы артефактов, которые необходимо найти. После запуска сканирования перейдите во вкладку Task Manager и кликните кнопку Configure task, так как программа ожидает ввода пароля для расшифровки зашифрованной резервной копии.

Кнопка Configure task:

ijrvi9nhwqd8ihpnyjxwg8sutq8.png


После расшифровки резервной копии Belkasoft Evidence Center попросит повторно указать типы артефактов, которые необходимо извлечь. После окончания анализа информацию об извлеченных артефактах можно просмотреть во вкладках Case Explorer и Overview .

Результаты анализа резервной копии Huawei Honor 20 Pro:

mqacolztz5pweeidypxpiywjmza.png


Анализ резервной копии HiSuite с помощью программы «Мобильный Криминалист Эксперт»


Другая криминалистическая программа, с помощью которой можно извлечь данные из резервной копии HiSuite, —
You must be registered for see links
.

Чтобы обработать данные, находящиеся в резервной копии HiSuite, кликните на опцию Импорт резервных копий в главном окне программы.

Фрагмент главного окна программы «Мобильный Криминалист Эксперт»:

aru03-88gkorsnxs9ijijkkb6ca.png


Или в разделе Импорт выберите тип импортируемых данных Резервная копия Huawei:

r89wzyihjca6czgj1foirw1elx0.png


В открывшемся окне укажите путь до файла info.xml. При старте процедуры извлечения появится окно, в котором будет предложено либо ввести известный пароль для расшифровки резервной копии HiSuite, либо применить инструмент компании Passware, чтобы попробовать подобрать этот пароль, если он неизвестен:

qud3-3stxpugh7yrs1wimkmuw8o.png


Итогом анализа резервной копии будет окно программы «Мобильный Криминалист Эксперт», в котором показаны типы извлеченных артефактов: звонки, контакты, сообщения, файлы, лента событий, данные приложений. Обратите внимание на количество данных, извлеченных из различных приложений этой криминалистической программой. Он просто огромен!

Список извлеченных типов данных из резервной копии HiSuite в программе «Мобильный Криминалист Эксперт»:

8fpl6bck3ekisoxbjwpvg0faddu.png


Расшифровка резервных копий HiSuite


Что же делать если у вас нет этих замечательных программ? В этом случае вам поможет Python-скипт, разработанный и поддерживаемый Франческо Пикассо (Francesco Picasso), сотрудником Reality Net System Solutions. Этот скрипт вы можете найти на
You must be registered for see links
, а его более подробное описание — в
You must be registered for see links
«Huawei backup decryptor».

В дальнейшем расшифрованная резервная копия HiSuite может быть импортирована и проанализирована с помощью классических криминалистических утилит (например,
You must be registered for see links
) или вручную.

Выводы


Таким образом, используя утилиту резервного копирования HiSuite, из смартфонов Huawei можно извлечь на порядок больше данных, чем при извлечении данных из этих же устройств с использованием режима ADB. Несмотря на большое количество утилит для работы с мобильными телефонами, Belkasoft Evidence Center и «Мобильный Криминалист Эксперт» — одни из немногих криминалистических программ, которые поддерживают извлечение и анализ резервных копий HiSuite.

Источники
  1. You must be registered for see links

  2. You must be registered for see links

  3. You must be registered for see links

  4. You must be registered for see links

  5. You must be registered for see links
  6. You must be registered for see links

  7. You must be registered for see links
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу